Preparação de uma Política de Segurança
Etapas Identificar a necessidade de ter “uma política de segurança” Elaborar um guião Definir a política de segurança da empresa Definir as estratégias de realização da segurança Definir o modo de concretizar as estratégias Definir os procedimentos de segurança
Definir Política de Segurança Fazer análise de risco Política de segurança Actividades Responsabilidades Divulgação e formação do pessoal Boas práticas Análise de riscos específica Contramedidas específicas
Impacto Expectativas Plano (o que fazer se) Evitar (o quê) Controlar Aceitar o risco (Então o que fazer se ...)
Formato das Políticas de Segurança Documento escrito Aprovado ao mais alto nível da hierarquia Clareza Concisão Elaborado pelo responsável directo Deve ser dirigido para atingir o nível de segurança adequado aos bens a proteger
Formato das Políticas de Segurança Obrigar ao mínimo número de alterações ao funcionamento da organização Plano não deve ser demasiado específico Deve ser fazível Recursos devem ser quantificados Deve prever a formação dos intervenientes Documentação / manuais Formação directa
Formato das Políticas de Segurança Deve prever as acções concretas e quem as realiza Deve prever o que fazer em casos de falha
Procedimentos de Segurança Fáceis de entender, ou não serão postos em prática Explicada a sua finalidade, ou serão ignorados Impostos com energia, ou tentarão contorná-los Definir sanções para os violadores
Procedimentos de Segurança Cada empregado só precisa de saber os procedimentos de segurança que lhe dizem respeito Ao contrário das políticas de segurança, os procedimentos devem ser largamente divulgados Os procedimentos devem estar escritos e incluir directivas claras
Segurança e Recursos Humanos Muitas vezes a segurança é quebrada por elementos internos à organização O infiltrado Questões económicas - a crise familiar Detenção de informação sobre a organização interna Cada técnico de segurança só deve conhecer o estritamente necessário ao desempenho da sua função (níveis de acesso aos recursos) Smart-cards Circuito de vídeo
Níveis de Segurança do “Livro Laranja” Segurança dedicada (D, C1) Segurança elevada (C2, B1) Segurança controlada (B2, B3) Segurança multi-nível (A1)
Níveis de Segurança do “Livro Laranja” Divisão D Protecção mínima Divisão C Classe C1 - Separação limitada de utilizadores e dados Classe C2 - Controlo de acesso de utilizadores e dados de maior granularidade
Níveis de Segurança do “Livro Laranja” Divisão B Classe B1 - Informação etiquetada e controlo de acesso mandatório sobre alguns utilizadores e os dados que manipulam Classe B2 - idem a todos os utilizadores Classe B3 - idem mas com possibilidades de registo de toda a actividade sobre os dados
Níveis de Segurança do “Livro Laranja” Divisão A Classe A1 - idem a B3 mas as facilidades de segurança tem de ser provadas por meios formais
Perfil Psicológico do Técnico de Segurança O Rigoroso O descuidado O “calado” O “gabarolas” O ex-hacker
Situações Especiais Entrada de novo funcionário Funcionário insatisfeito Funcionário com problemas pessoais Financeiros Familiares Recomendação: rodar o pessoal entre funções compatíveis
Pessoal Importância do treino inicial Importância do treino periódico Divulgação de casos exemplares
Auditoria Revisitada Auditoria aos procedimentos Auditoria aos incidentes Auditoria ao pessoal Entrevistas individuais (a ameaça pendente) Revisão das políticas